In einem Vergleich einigte sich die kalifornische Generalstaatsanwaltschaft in einem aktuellen Verfahren über
Welche Verstöße gegen die CCPA-Regeln wurden festgestellt?
Das in Frankreich beheimatete Unternehmen Sephora nutzte in seinen Onlineshops Tracking-Technologien, durch welche Kundendaten an Drittanbieter übermittelt werden können. Auf den Websites gab es keine Möglichkeit, diese Übermittlung seitens der Kundinnen und Kunden aktiv zu blockieren. Zwar enthalten die Datenschutzhinweise eine Information, dass das Sephora keine personenbezogenen Daten verkauft, allerdings konnte das Unternehmen keine Dienstanbietervereinbarungen vorweisen. Die kalifornische Generalstaatsanwaltschaft ging deshalb davon aus, dass die Weitergabe der Daten einem Verkauf gleichzusetzen ist. Interessant ist das Verfahren vor allem deshalb, weil es nicht nur die Erfüllung der aktuell gültigen CCPA-Regeln verlangt, sondern ergänzend auch die Erfüllung der Ansprüche nach GPC (Global Privacy Control) als zwingend erachtet. GPC ist die 2009 entwickelte „Do Not Track“-Funktion, die inzwischen auch alle gängigen Browser als optionale Einstellung anbieten. Pionier auf diesem Gebiet war Mozilla mit dem Browser Firefox.
CCPA soll schon bald von CPRA abgelöst werden
Das Kürzel CCPA steht für den „California Consumer Privacy Act“, der im Jahr 2018 vom damaligen Gouverneur Jerry Brown unterzeichnet wurde. Er gilt für Unternehmen, die Einnahmen mit dem Verkauf von personenbezogenen Daten erzielen, Daten von mehr als 50.000 Verbrauchern erhalten oder Bruttoeinnahmen von mehr als 25 Millionen Dollar pro Jahr erzielen. Dabei ist zu beachten, dass nur einer der genannten Parameter zutreffen muss. Als personenbezogen stuft der CCPA alle Daten ein, die zu einer direkten oder indirekten Verknüpfung mit einzelnen Verbrauchern oder Haushalten führen können.
Mitte des laufenden Jahres wurde ein Gesetzesentwurf vorgelegt, der unter dem Kürzel CPRA (California Privacy Rights Act) bereits ab Januar 2023 greifen soll. Er fordert zwingend die Bereitstellung eines „Opt-out-Präferenzsignals“ und beinhaltet erstmals eine verbindliche Definition einer solchen Funktion. Ein wichtiger Punkt dabei ist, dass der Weg zum Klick zur Anwendung höherer Stufen des Datenschutzes nicht länger als bei niedrigeren Datenschutzeinstellungen sein darf. Das heißt, dass viele Betreiber von Websites die Möglichkeiten zum individuellen Setzen von Datenschutzeinstellungen überarbeiten müssen. Vielfach ist die einfache Zustimmung mit nur einem Klick möglich, während individuelle Einstellungen Klicks in einem Untermenü erfordern. Das würde ab Januar 2023 einen Verstoß gegen die neuen CPRA-Regeln bedeuten.
Quelle: Generalstaatsanwaltschaft Kalifornien, California Privacy Protection Agency
Weitere Meldungen
Nachwirkungen der Coronakrise: BGH-Urteil zur Erstattung von Hotelkosten
Pauschalreiserichtlinie: Kritik an geplantem EU-Recht
Mogelpackung des Jahres gekürt